- - PR -
無線による有線LANの盗聴は可能
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2003-04-22 13:03
こんにちは。
引用:樫田さんwrote ---------------------------------------------------------------------- ただし蛇足かもしれませんが、この構成の場合はイントラネットと無線LANのネット ワークセグメントは異なるネットワークになるために、ユーザの利便性を考えると 運用上の注意が必要です。 (例えば、無線LANからイントラネット上のプリンタサーバを使用したいという要望など) 当初はHTTPのみでというデザインをしていたけれど、運用開始後、ユーザの要望と コストの両者を実現するためにセキュリティを犠牲にして、様々なプロトコルを許可 してしまうという話はよくありますから。 ---------------------------------------------------------------------- すごいですね。。一番気になっていた部分をずばり指摘されてしまい驚いています。 将来的に拡張性のあるシステムを考えた面も、そして現状に適用させる為にも実は ネットワークセグメントは分けたくは無いので(理由を述べるときりが無い ので省略致しますが・・)現在悩んでいます。ネットワークセグメントが分かれ ないブリッジとして機能するルータ(要するにブルータ?)でポートフィルタす れば良いのでは?と考えていたのですが、実際にまだ製品があるかどうか調べた 訳ではないので可能か否かは未確認です。 もしその様な機器についてご存知であればご教授下さい。 |
|
投稿日時: 2003-04-22 13:38
どうも、BASEと申します。
SSIDブロードキャストは、WindowsXPの場合 SSIDブロードキャストしていないAPに接続していても、 SSIDブロードキャストしているAPが近くで立ち上がると、 SSIDブロードキャストしているAPに接続してしまうので、 悪意ある誘導なんかがしやすいですかねぇ? 仕様なため、推奨設定はSSIDブロードキャストを有効に しましょうということみたいですが・・・ >ネットワークセグメントが分かれないブリッジとして機能するルータ ルータではないですが、NetscreenはNICにIP振らないでフィルタリングかけることは できます。 ルーティングが端末毎に登録したりする場合があるので面倒ですが・・・ |
|
投稿日時: 2003-04-22 14:18
樫田です。当初のスレッドの内容からずれてしまっていますが、やはり皆さんも
無線LANの構築には苦慮されているようですね。 >将来的に拡張性のあるシステムを考えた面も、そして現状に適用させる為にも >実はネットワークセグメントは分けたくは無いので(理由を述べるときりが無い >ので省略致しますが・・)現在悩んでいます。ネットワークセグメントが >分かれないブリッジとして機能するルータ(要するにブルータ?)でポート >フィルタすれば良いのでは?と考えていたのですが、実際にまだ製品があるか >どうか調べた訳ではないので可能か否かは未確認です。 >もしその様な機器についてご存知であればご教授下さい。 確かにこのブルータにより、複数のセグメントを一つの巨大なネットワーク セグメントと解釈して、個々のデータのMACアドレスチェックにより パフォーマンスと両立させることは可能です。しかし、もともとこの機器は イエローケーブル時代のリピータと比較して語られるもので、セキュリティの ために一種のフィルタとして導入するようなものではありません。 (そもそも今でも入手できるのでしょうか?) DMZでセグメントを分けると言う話になると、どうしても本格的なFW-1などを 使って多額のコストが必要になるようなイメージがありますが、そこまで しなくても、機能を限定すれば簡単な実装は可能です。 例えば、Windowsサーバマシンを一台用意して、インターフェース(LANカード)を 2つ設置します。この一方をプリンタサーバ等が置かれたイントラネットに接続 して、もう一方をアクセスポイントと接続しておきます。ファイアウォールや RADIUS認証などの機能はWindowsサーバ単体で実現できますから、この構成だけ でも立派なDMZになります。(もちろんLinuxサーバでも結構です) このDMZの目的はアクセスポイントのみを置くためで、他のWEBサーバなどと同居 させるべきではありませんから、これでも十分でしょう。 問題はネットワークアドレスの取り扱いですが、これは名前解決等の設定さえ 適切に行えば、たとえ異なるネットワークアドレスであったとしてもユーザに それを意識させる必要はありません。ただの運用上の問題です。 本当のエンドユーザは元々ネットワークセグメントなど意識していないでしょう。 また蛇足かもしれませんが、もう一言だけ付け加えさせていただくと、セキュリティを システムとしてみた場合は、以上の実装で実現可能です。しかしプロセスとしてみた 場合、エンドユーザに 「無線ステーションとプリンタサーバではネットワークセグメントが異なっている」 事実をあえて意識させた方が良い場合もあります。 管理者努力によりすべてのシステム実装をブラックボックスにすることも可能ですが、 この場合、個々のユーザのセキュリティ意識は当然低くなります。 一方ユーザの利便性を多少犠牲にしてでも、「現在使用しているネットワーク環境は DMZと呼ばれる特殊領域なのだ。だから注意しなければ」と意識させることは セキュリティ教育の一部と考えられます。組織ごとのセキュリティポリシーを 導入する場合、こうした身近な部分から始めると有効なケースも多いようです。 |
|
投稿日時: 2003-04-22 15:06
松崎です。だいぶ内容をずらしてしまい申し訳ございません。
さらにずらして怒られそうなのですが・・ 確かに樫田さんのおっしゃる「セキュリティ教育の一環」と考える方法で あればその様な形式を取りたいと思っております。昨今、システムのユーザ が「システムはよくわからない」というスタンスではそれは企業としてのリ スクや損失につながるものだと思っています。つまり昔の様にMMIの部分だけ を意識してシステムというブラックボックスを使用するというスタンス(つ まりMMI以外は興味を持たなくて良い)では現在のシステムでは通用しないと 私は考えています。(逆を言えば昨今色々な問題がありすぎて管理者努力を 一部ユーザに委譲せざるを得ない状態とも言えますが・・) 話しは戻りますが、ネットワークセグメントはRIPによるdynamicとstaic によるルーティングが混在している現在の状況で、私の頭では「無線の部分」 のネットワークセグメントを分けるという発想まで頭が追いつかないという 問題があります(できるのはわかるのですが)。つまり以下の様な場合、 ※以下ネットワークセグメントは「|離|」という記述で分けます。 |離|の部分はルータがいて複数に分岐したりしています。 端末A- 無線AP - |離| - HTTPサーバ - |離| - VPN等 - |離| - L3SWHUB - |離| - 端末B 上記の様な構成で現状「端末B」からHTTPサーバまでは内部IP(クラスC) 192.168...というアドレスで構成しています。ですが、さらにその先の 無線部分の端末Aのセグメントを分けた場合、クラスCは実はもう余りが無い のでクラスBの172.10...などを無線の部分に使ったとなると・・・ この辺りを考えていたら「セグメントはわけたくない」・・と簡単な道に 発想が至ってしまったわけです。ルーティングによりセグメントが違うと いう複雑さを隠蔽しても「予想しない」問題は発生しそうな気もしますし・・ システム管理グループは誰一人原理を理解していないですし。。 ですが、今回のケース「APの直後でポートフィルタ&セグメントは変えない」 という発想にジャストな機器が見当たらない現実を見ると私の発想自体が少し ナンセンスなのかもしれませんね・・(つまり皆さんはやってない) とはいいつつもこの案しか思いつかないのですが。もし無線端末が普通のPCで NetBIOSも何も全て通すというのであれば、そもそも賛成自体するかもわかりま せんが。 ですが802.11bだけではなんとも納得がいかないのも事実なのですが。だから といってRADIUSやxの規格は費用の面で採用できません(>_<) 長くなってしまいすみません。 [ メッセージ編集済み 編集者: matu 編集日時 2003-04-22 15:14 ] |
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。